第四章 AD功能简介.pptxVIP

AD DS 提供分布式数据库，该数据库存储和管理有关网络资源和来自支持目录的应用程序的应用程序特定数据的信息。管理员可以使用 AD DS 将网络元素（如用户、计算机和其他设备）整理到层次内嵌结构。内嵌层次结构包括 Active Directory 林、林中的域以及每个域中的组织单位 (OU)。运行 AD DS 的服务器称为域控制器。 使用 Active Directory(R) 域服务 (AD DS) 服务器角色，可以创建用于用户和资源管理的可伸缩、安全及可管理的基础机构，并可以提供对启用目录的应用程序（如 Microsoft(R) Exchange Server）的支持。 ;计算机 联系人 组 组织单元 打印机 用户 共享文件夹;组策略设置定义了系统管理员需要管理的用户桌面环境的各种组件，例如，用户可用的程序、用户桌面上出现的程序以及“开始”菜单选项。要为特定用户组创建特殊的桌面配置，请使用组策略对象编辑器。您指定的组策略设置包含在组策略对象中，而组策略对象又与选定的 Active Directory对象（即站点、域或组织单位）相关联。 组策略对象策略设置存储在组策略对象中。可以将组策略对象编辑器看作一个应用程序，它的文档类型是组策略对象，就象文字处理程序使用 .doc 或 .txt 文件那样。组策略包括影响用户的“用户配置”策略设置和影响计算机的“计算机配置”策略设置。 组策略包括影响用户的“用户配置”策略设置和影响计算机的“计算机配置”策略设置。;作用： Active Directory可以存储用户、计算机和网络资源的信息，并且使资源可以被用户和应用程序访问。它提供了一种统一的方法来命名、描述、定位、访问、管理和保护这些资源。 优势： 对网络资源的集中控制 集中和分散资源管理 在逻辑结构中安全地存储对象 优化网络流量 ;在域中，每一个组策略是一个对象，保存在Windows 2008/R2的活动目录（AD）中，我们可以为每一个“容器”指定适当的组策略对象（GPO）。换句话说，组策略对象与“容器”是相互独立的，我们可以在“容器”和组策略对象之间建立“连接”，从而为“容器” 指定组策略。 同一个容器可以采用多个组策略，同一个组策略对象也可以制定给多个容器。当容器采用多个组策略时，组策略对象之间可能会发生冲突，先指定的组策略对象具有较高的优先级。 容器中采用的组策略不一定会作用到容器中的所有成员，我们可以指定某一个组策略对象只对容器中的某一组用户或者计算机起作用，这可以使组策略的使用更加灵活。 容器中的组策略时可以继承的，子容器会自动采用所有上级容器的组策略。同时，管理员也可以阻止组策略的继承以加快组策略的实施速度（就是用户登录的速度）。 ? 根据公司的域模型、OU的设计以及其它的情况，可以采用以下的组策略设计： 为每个OU指定基本的组策略。公司的OU是按照组织机构来划分的，我们通过为每个OU指定组策略，可以实现每个部门自己的岗位化定制。 根据用户的职务和级别，也会对系统有不同的要求。我们为这些用户按照职务建立不同的组策略对象, 指定该组策略对象只对容器中具有相应职务的用户起作用。 阻止策略继承，以改善系统的性能。;举例说明Active Directory的优势;计算机集中管理 将需要管理的电脑加入到域，我们就可以根据企业要求对计算机的相关配置进行一个统一的设置。 ;用户集中管理 所有用户都是域内用户，不会发生忘记密码，需要破解工具或是重新安装系统的方式来恢复密码。我们只需要简单的在域里修改其密码，用户就可以再次正常的开展工作了，同时也可以很好的限制用户的权限，如禁止修改网络设置等。;根据企业要求，通过策略、模板实现客户端计算机或用户配置的一致，以满足企业安全需求。如我们可以定义密码的有效期、最小长度、复杂性和账户锁定设置，当用户多次输入失败，就会被锁定一段时间，如10分钟。这样可以大大降低密码被黑客或恶意程序破解的可能。;可以基于用户或计算机进行软件的分发、指派，如我们可以通过软件安装，方便的将office或其他软件批量部署到我们的客户端上。;USB、光驱设备控制访问 我们可以定义哪些用户可以使用计算机上的哪些设备或端口，防止信息泄露。;规范客户端用户桌面 通过限制桌面图标的属性功能、和统一桌面壁纸等方法来统一用户的桌面。;自定义“开始”菜单和任务栏 配置“开始”菜单和任务栏设置来防止用户删改计算机设置，统一维护规范。;规范IE浏览器设置 统一修改计算机或用户IE浏览器设置（如添加受信任的网站、IE选项卡的设置），减少维护成本;方便的首选项，可以更方便为用户分配打印机资源、共享文件、甚至是快捷方式等。我们可以很方便的将每个用户需要的内容以快捷方式的形式放在用户的桌面上。同时???可以为用户的电源选项等进行设置，可以定义空闲时间